Nieuws
image

Microsoft waarschuwt voor YellowKey-lek dat BitLocker-encryptie omzeilt

woensdag 20 mei 2026, 09:33 door Redactie, 12 reacties
Laatst bijgewerkt: Gisteren, 10:34

Microsoft waarschuwt voor een nieuwe kwetsbaarheid in Windows genaamd YellowKey waardoor de BitLocker-encryptie van systemen is te omzeilen. Het techbedrijf verwacht dat aanvallers misbruik van het lek zullen gaan maken. Volgens ontwikkelaar van forensische software Elcomsoft, is de kwetsbaarheid interessant voor forensisch onderzoekers die nu geen toegang tot met BitLocker versleutelde systemen kunnen krijgen.

Op 12 mei publiceerde een onderzoeker op GitHub een werkende proof-of-concept exploit voor de kwetsbaarheid, die hij de naam YellowKey gaf. Via de exploit kan een aanvaller met fysieke toegang tot een met BitLocker versleutelde Windows 11, Windows Server 2022 of Windows Server 2025 machine toegang tot het systeem krijgen. De enige vereiste is een usb-stick met de exploit en een toetsencombinatie die tijdens het opstarten moet worden ingevoerd. "De kwetsbaarheid zit niet in de encryptie zelf, maar in de herstelomgeving die BitLocker omringt", stelt het Nationaal Cyber Security Centrum (NCSC).

Een dag later meldde de onderzoeker dat ook BitLocker-systemen met TPM en pincode kwetsbaar zijn, maar de gepubliceerde exploit werkt niet tegen systemen die met een pincode zijn beveiligd. Experts twijfelen of BitLocker met een pincode inderdaad kwetsbaar is, zoals de onderzoeker claimt. Een week na de publicatie van de YellowKey-exploit is Microsoft nu met een beveiligingsbulletin over het probleem gekomen. Daarin waarschuwt het techbedrijf voor de kwetsbaarheid (CVE-2026-45585) en zegt aan een beveiligingsupdate te werken. Een patch is nog niet beschikbaar, wel verschillende tijdelijke mitigaties die organisaties en gebruikers kunnen doorvoeren, waaronder het instellen van een pincode.

Volgens Oleg Afonin, van forensische softwareontwikkelaar Elcomsoft, heeft het YellowKey-lek veel aandacht van de cybersecuritypers gekregen, maar bleef het binnen de forensische gemeenschap stil. Elcomsoft levert software waarmee onder andere opsporingsdiensten toegang tot systemen kunnen krijgen. Afonin stelt dat YellowKey forensisch onderzoekers kan helpen om toegang te krijgen tot systemen die nu op de plank liggen en eerder niet waren te onderzoeken omdat ze met BitLocker zijn versleuteld. Daarbij merkt hij op dat onderzoekers wel eerst een image van het systeem met een hardware write blocker moeten maken, omdat de exploit allerlei bestanden aanpast.

Reacties (12)
Reageer met quote
Gisteren, 09:43 door Anoniem
Hier meer (technische) achtergrond over de kwetsbaarheid (of backdoor?...):
- https://github.com/Nightmare-Eclipse/YellowKey
- https://x.com/weezerosint/status/2054299771817660433
Reageer met quote
Gisteren, 10:11 door Anoniem
Zo, Microsoft is eindelijk wakker na dagenlange stilte over deze exploit? Beschamend dat dit zo lang duurde.
Reageer met quote
Gisteren, 11:26 door Anoniem
Door Anoniem: Zo, Microsoft is eindelijk wakker na dagenlange stilte over deze exploit? Beschamend dat dit zo lang duurde.
Ach ja wat maakt het uit. Ik heb dit systeem al lang opgegeven.
Reageer met quote
Gisteren, 13:00 door Anoniem
Dit risico was toch vanaf het begin al duidelijk? Wanneer je geen pre-boot authenticatie doet en het systeem in 1 keer het OS start en doorboot naar het Windows inlogscherm... dan weet je dat de decryptiesleutels op allerlei plekken door de hardware vliegen. Goede device encryptie vereist dat er een geheim nodig is om bij de cryptosleutels te komen. Bij voorkeur een geheim dat (eventueel samen met hardwareinfo) voor sleutelafleiding (PBKDF2 of vergelijkbaar) wordt gebruikt, waardoor je zonder dat geheim (of herstelsleutels, die op dezelfde wijze kunnen werken) nooit iets kunt.

Een sleutel in een TPM stoppen die hem vervolgens unattended afgeeft => recept voor dit probleem.
Reageer met quote
Gisteren, 13:32 door e.r.
Microsoft Security heeft aan TPM/Bitlocker vorige jaar een mooi blogartikel gewijd.

https://techcommunity.microsoft.com/blog/microsoft-security-blog/bitunlocker-leveraging-windows-recovery-to-extract-bitlocker-secrets/4442806

Zelf denk ik dat hierin duidelijk is dat zelfs met pin de boel omzeild kan worden, maar we zullen zien of het echt zo is.
Reageer met quote
Gisteren, 13:42 door Anoniem
In het kader van sharing is caring....

Heb een script gemaakt wat de instructies van de CVE van Microsoft uitvoert:
https://github.com/bjbakker1984/Yellowkey-mitigation

Mag natuurlijk gedeeld worden als je hier andere (MSP-)organisaties ook mee kan helpen!
Reageer met quote
Gisteren, 14:27 door johanw
De backdoor is ontdekt, paniek! Gelukkig heb ik mijn systeem met Veracrypt versleuteld, die vraagt eerst een wachtwoord anders kom je er niet in.
Reageer met quote
Gisteren, 14:49 door ShaWormHa - Bijgewerkt: Gisteren, 14:52
Een patch is nog niet beschikbaar, wel verschillende tijdelijke mitigaties die organisaties en gebruikers kunnen doorvoeren, waaronder het instellen van een pincode.

Het instellen van de pincode maakt niet uit, volgens de auteur van de exploit
-> https://deadeclipse666.blogspot.com/2026/05/were-doing-silent-patches-now-huh-also.html
No, TPM+PIN does not help, the issue is still exploitable regardless, I asked myself this question, can it still work in a TPM+PIN environment ? Yes it does, I'm just not publishing the PoC, I think what's out there is already bad enough.

Wel grappig, ze zeggen dat het niet Bitlocker is die gehit wordt maar de recovery env om de key heen. Daaruit kan je zelf ook uitmaken dat een pin niet helpt, dus die mitigaties zijn een wassenneus.
Reageer met quote
Gisteren, 15:44 door Anoniem
Mental Outlaw heeft hier een video over:
A Hacker Found The BitLocker Backdoor
https://youtu.be/4dOp-QA4VK4
Reageer met quote
Gisteren, 15:50 door Anoniem
Door johanw: De backdoor is ontdekt, paniek! Gelukkig heb ik mijn systeem met Veracrypt versleuteld, die vraagt eerst een wachtwoord anders kom je er niet in.
Veracrypt is inderdaad een goede oplossing! De mijne is met LUKS via full-disk encryption beveiligd, al zijn alle desktop systemen momenteel wel te kraken, of het nou Windows, Linux of Mac is.
Beveiligingsgeoriënteerde besturingssystemen zoals SecureBlue en QubesOS+Whonix zijn lastiger te kraken.
Hoewel mijn telefoon nog veel beter is beveiligd met GrapheneOS, immers zijn mobiele besturingsystemen een stuk veiliger dan haar desktop tegenhangers.
Reageer met quote
Gisteren, 17:35 door Anoniem
Door Anoniem:
Door johanw: De backdoor is ontdekt, paniek! Gelukkig heb ik mijn systeem met Veracrypt versleuteld, die vraagt eerst een wachtwoord anders kom je er niet in.
Veracrypt is inderdaad een goede oplossing! De mijne is met LUKS via full-disk encryption beveiligd, al zijn alle desktop systemen momenteel wel te kraken, of het nou Windows, Linux of Mac is.
Beveiligingsgeoriënteerde besturingssystemen zoals SecureBlue en QubesOS+Whonix zijn lastiger te kraken.
Hoewel mijn telefoon nog veel beter is beveiligd met GrapheneOS, immers zijn mobiele besturingsystemen een stuk veiliger dan haar desktop tegenhangers.
Dat komt omdat op mobiele systemen geen windows meer zit. Je ziet wat er gebeurd als concurrentie mogelijk is.
Reageer met quote
Gisteren, 22:25 door Anoniem
Wat een hoop haat meteen weer naar het meest gebruikte desktop OS te wereld. Ook alternatieven hebben te maken met kwetsbaarheden die ontdekt worden en niet de dag erna gefixed zijn. Ik ben M$ fan of blijf graag objectief..
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure Full Stack Training 2026 Salt Road: Compromised Components